Una al Día

Boletín de noticias de Seguridad Informática ofrecido por Hispasec

Estás aquí: Inicio / General / Filtración de información confidencial a través de Philips IntelliSpace y Xcelera

Filtración de información confidencial a través de Philips IntelliSpace y Xcelera

Por Deja un comentario

Las vulnerabilidades han sido descubierta por el equipo de control de emergencia cibernética de sistemas de control industrial (ICS-CERT) junto con el equipo de Philips Hearhcare en los software Philips’ IntelliSpace Cardiovascular (ISCV) y en el software de administración de información e imagen cardiovascular Xcelera los cuales alertaron después de descubrir esta vulnerabilidad.

Según ICS-CERT una explotación exitosa de las vulnerabilidades podría permitir a un atacante local con privilegios en el servidor ISCV/Xcelera elevar privilegios y ejecutar código arbitrario en el servidor.

A las vulnerabilidades encontradas se les han asignado los identificadores CVE-2018-14787 y CVE-2018-14789. La primera vulnerabilidad es debida a una gestión incorrecta de los privilegios, y la segunda es debida a un error de sanitización de los parámteros en el campo de búsqueda.

Aunque por separado, estas vulnerabilidades no son críticas, ambas juntas podrían permitir a un atacante ejecutar código arbitrario, lo que puede provocar a la obtención de detalles de los pacientes existentes en el sistema.

A día de hoy, según el Philips no han recibido datos ni indicios de que estas vulnerabilidades hayan sido explotadas.

Las vulnerabilidades afectan a la versión 3.1 o anterior de IntelliSpace Cardiovascular y a la versión 4.1 o anterior de de Xcelera.

Actualmente no hay parche oficial disponible que corrija estos problemas. Los parches que corrigen estas vulnerabilidades serán lanzados en su próxima versión prevista para el mes de octubre. Mientras tanto, Philip recomienda que se revisen los permisos a los archivos de todos los usuarios de la red.


Jose Ignacio Palacios
jipalacios@hispasec.com
@jpalaciosortega

Más información:

E Hacking News: Cybersecurity Vulnerabilities in Philips IntelliSpace System Exposes Sensitive Cardiac Patient Information:






Interacciones del lector

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.